DDoS: I mostri del web che sfruttano enormi reti di macchine infette
Da quando fu lanciato il primo nel 1974, DoS e DDoS sono rimasti tra i cyber attacchi più resistenti e pericolosi.
Nell’ambito della sicurezza informatica con il termine DoS – Denial-of-Service – si indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client.
Spesso si tratta di strutture d’attacco molto complesse che dimostrano quanto gli hackers che li sviluppano siano capaci e creativi e quanto sia di conseguenza necessario studiarli e analizzarli.
Differenze tra DoS e DDoS: attacco da una sola macchina vs attacco distribuito
Per approfondire la conoscenza con questi metodi d’attacco facciamo innanzitutto chiarezza sulle due grandi categorie di Denial-of-Service esistenti, l’una evoluzione dell’altra: DoS e DDoS.
Un DoS è un attacco effettuato da una sola macchina verso una vittima, in un DDoS – Distributed Denial-of-Service – la generazione dell’attacco viene invece distribuita tra più computer.
Il vantaggio è palese, utilizzando più macchine è infatti possibile generare un attacco di dimensioni molto superiori rispetto ad una macchina sola.
Le reti formate da dispositivi infetti controllati da remoto e utilizzati nei DDoS sono dette “botnet”, più è ingente il numero di macchine che compongono la botnet maggiore sarà la potenza dell’attacco che la sfrutta.
Un attacco DoS è molto più facilmente mitigabile rispetto a un DDoS, essenzialmente perché il primo non può generare molta banda e, provenendo da un solo indirizzo IP, può essere facilmente individuato permettendo alla vittima di bloccare l’IP malevolo nel proprio firewall.
Quando invece l’attacco proviene da decine di migliaia di IP diversi individuarli diventa molto più complicato.
Ormai gli attacchi DoS risultano poco diffusi vista l’efficienza di contro-attacco, al contrario i DDoS non cessano di crescere in numero e grandezza.
Breve storia degli attacchi DoS e DDoS
La nascita dei Denial-of-Service è piuttosto curiosa, più di quarant’anni fa l’embrione dei DoS vide la luce grazie al ragazzo prodigio David Dennis che a soli 13 anni “scoprì” un comando eseguibile su PLATO – uno dei primi sistemi di apprendimento computerizzati condivisi, precursore di molti futuri sistemi di elaborazione multi-user.
Il comando era chiamato “extern” o “ext” e doveva consentire l’interazione con i dispositivi esterni collegati ai terminali.
Quando il comando veniva eseguito su un terminale senza dispositivi esterni collegati causava l’arresto dello stesso e la necessità di riavvio per ristabilirne le funzionalità.
David scrisse un programma in grado di eseguire il comando “ext” su molti terminali PLATO nello stesso momento causandone l’arresto contemporaneo.
La vera minaccia web iniziò già agli albori del nuovo millennio, nell’agosto 1999 uno dei primi attacchi DDoS su larga scala si è verificato negli Stati Uniti quando un hacker utilizzò uno strumento chiamato “Trinoo” – una rete di macchine compromesse – per disabilitare la rete dell’università del Minnesota per più di due giorni.
Da lì in poi la loro diffusione è stata virale, gli inizi del nuovo millennio videro varie aziende, istituzioni finanziarie e agenzie governative vittime di DoS e DDoS.
Per citare solo le vittime più eclatanti: nel 2000 vennero attaccati eBay, Yahoo e addirittura il sito dell’FBI; nel 2003 il sito di Al-Jazeera; tra il 2007 e il 2009 vennero attaccati siti governativi in Estonia, Georgia, Corea del sud e Iran e ancora Facebook, Twitter e Google.
Dopo aver buttato un occhio al passato veniamo ora a dati più recenti, nel secondo trimestre del 2016 si sono registrati attacchi DDoS nei confronti di “obiettivi” situati in 70 diversi Paesi.
Il 77,4% degli attacchi eseguiti ha preso di mira target ubicati in Cina, paese che, insieme alla Corea del Sud e agli Stati Uniti conservano la leadership riguardo al numero di attacchi rilevati nel primo trimestre del 2016. Tra gennaio e febbraio dell’anno corrente l’attacco DDoS più esteso in termini temporali si è protratto per 291 ore – circa 12 giorni – una durata notevolmente superiore al valore massimo riscontrato riguardo al trimestre precedente – circa 8 giorni.
Tipologie d’attacco DDoS
Le modalità tramite le quali sferrare un DDoS sono diverse, alcune più comuni di altre.
Tra le tante – in continua mutazione – spiccano queste due:
attacchi contro le risorse di rete: gli hackers tentano di consumare tutta la larghezza di banda della vittima – ovvero la capacità di trasporto dei dati del suo canale di rete – attraverso una grande quantità di traffico illecito al fine di saturare l’intera internet pipe. Questi attacchi vengono anche detti network floods – “inondazione di rete” – e rientrano tra i più semplici ed efficaci.
In un comune attacco network flood l’azione è distribuita tra un migliaia di volontari o computer compromessi che, inconsapevolmente, contribuiscono ad inviare una quantità enorme di traffico verso il sito mirato travolgendo la sua rete;
attacchi contro le risorse del server: quando il target sono i server l’obiettivo è di esaurirne la capacità o la memoria di elaborazione, causando potenzialmente una condizione di Denial-of-Service. Attraverso una vulnerabilità sul server di destinazione o una debolezza in un protocollo di comunicazione, gli hacker riescono ad investire il target con un’enorme quantità di richieste illegittime tanto da privarlo della capacità di accogliere quelle legittime, compromettendolo. Solitamente, parlando di server, ci si riferisce a quelli di un sito web o di un’applicazione web, tuttavia queste tipologie di attacchi DDoS riescono a colpire anche firewalls e altri sistemi di prevenzione.
Cosa si può fare contro i DDoS?
Negli ultimi anni le imprese di tutto il mondo hanno avviato un inevitabile processo di “softwarizzazione” generale. Fino a poco tempo fa tutto ciò che necessitava protezione – data center, applicazoni, database – era fisicamente all’interno del perimetro aziendale, oggi invece non esistono più muri perimetrali: le attività sono ovunque grazie ai clouds.
Questo cambiamento aumenta la pericolosità dei DDoS e la necessità di far evolvere e migliorare i sistemi di sicurezza.
Le soluzioni per prevenire o curare un attacco DDoS tipicamente combinano il rilevamento di traffico sospetto e strumenti di mitigazione.
Durante un attacco, come abbiamo visto, il traffico di rete del sistema colpito potrebbe risultare eccessivo rispetto alla norma, tramite strumenti in grado di rilevare traffico sospetto il sistema avverte dunque il gestore colpito della presenza di un’anomalia. Una volta rilevato il problema non esiste però ad oggi un modo standard e sicuro per contrattaccare.
La situazione ovviamente si complica quando l’attacco è particolarmente complesso e supportato da botnet massicce.
Secondo molti esperti l’evoluzione più efficace per elaborare nuovi potenti strumenti difensivi dovrebbe riguardare la distribuzione degli stessi, in altre parole: imitando l’attacco anche la soluzione dovrebbe essere distribuita. Seguendo questa linea i titolari di proprietà Web di ogni settore tendono a implementare soluzioni sempre più numerose e combinate, tuttavia gestire strumenti difensivi “distribuiti” risulta ancora molto difficoltoso.
La situazione generale è in conclusione molto delicata e in continua mutazione, riusciremo mai a sconfiggere definitivamente i DDoS?